anonym.legal
Volver al BlogGDPR y Cumplimiento

Derecho de Supresión del GDPR en 2025...

El Marco de Ejecución Coordinada del EDPB de 2025 investigó el cumplimiento del derecho a la supresión en 32 APD.

April 20, 20269 min de lectura
GDPR right to erasureEDPB coordinated enforcement 2025Article 17 compliancedata minimizationanonymization vs deletion

La Acción de Ejecución de 2025 del EDPB

El Marco de Ejecución Coordinada (CEF) de 2025 de la Junta Europea de Protección de Datos (EDPB) se centró en el Artículo 17 del GDPR — el derecho a la supresión. Treinta y dos Autoridades de Protección de Datos en la UE y el EEE investigaron simultáneamente cómo las organizaciones responden a las solicitudes de derecho a la supresión. El enfoque coordinado fue diseñado para identificar fallos sistémicos en lugar de casos aislados individuales.

Los hallazgos identificaron siete desafíos recurrentes de cumplimiento en las organizaciones investigadas:

  1. Procedimientos internos mal documentados para el procesamiento de solicitudes de supresión
  2. Rechazo excesivamente amplio de solicitudes legítimas (utilizando excepciones permitidas de manera demasiado amplia)
  3. Cargas indebidas impuestas a los individuos cuando presentan solicitudes de supresión
  4. Incapacidad para localizar todos los datos personales en los sistemas al procesar una solicitud de supresión
  5. Retrasos excesivos en el procesamiento de solicitudes más allá de la ventana de respuesta de 30 días del GDPR
  6. Comunicación insuficiente a los interesados sobre el resultado de sus solicitudes
  7. Técnicas de anonimización ineficientes utilizadas como alternativa a la eliminación — específicamente señaladas como organizaciones que utilizan "anonimización" técnicamente defectuosa que deja los datos reidentificables

Nueve APD iniciaron investigaciones formales basadas en los hallazgos del CEF. El séptimo desafío recurrente — la anonimización ineficiente — es directamente relevante para las organizaciones que utilizan la anonimización como su estrategia principal de minimización de datos.

La Alternativa de Anonimización a la Eliminación

El derecho a la supresión del GDPR no requiere eliminación en todos los casos. El considerando 65 señala que la supresión puede lograrse a través de la anonimización cuando la eliminación no es técnicamente factible (por ejemplo, en cintas de respaldo o sistemas de análisis integrados donde la eliminación de registros individuales requeriría la reconstrucción del sistema).

Los hallazgos del CEF del EDPB indican que esta alternativa está siendo abusada: las organizaciones están reclamando "anonimización" para la transformación de datos que deja los datos técnicamente reidentificables — utilizando la palabra para evitar la carga operativa de la eliminación real en lugar de lograr el resultado de protección de datos que se supone que debe proporcionar la anonimización.

La distinción que está haciendo el EDPB: la verdadera anonimización — donde el vínculo entre los datos y el individuo no puede ser restablecido por ningún medio disponible para el controlador de datos o cualquier tercero — elimina los datos del ámbito del GDPR y satisface la solicitud de supresión. La seudonimización — donde la reidentificación es posible con la clave apropiada — no satisface la solicitud de supresión; los datos personales del interesado aún existen y deben ser eliminados o la clave debe ser destruida.

Estrategia Práctica de Cumplimiento

Para las organizaciones que utilizan la anonimización como alternativa a la eliminación en sistemas de análisis:

La arquitectura correcta separa la ingestión de datos (datos personales en bruto) del análisis de datos (derivados anonimizados). Los datos personales en la capa de ingestión están sujetos a solicitudes de supresión — cuando un interesado ejerce los derechos del Artículo 17, los datos personales en la capa de ingestión son eliminados. Los derivados anonimizados en la capa de análisis — si la anonimización fue completa e irreversible — no necesitan ser modificados porque ya no son datos personales.

Esta arquitectura requiere que la anonimización en el límite entre la ingestión y el análisis sea técnicamente sólida: irreversible (no tokenización), completa (todas las categorías de identificadores abordadas) y documentada (la organización puede demostrar a una APD que el método de anonimización cumple con los estándares del EDPB). La empresa minorista que anonimiza el historial de compras de los clientes antes del procesamiento de análisis, reemplazando nombres y detalles de contacto con tokens bajo cifrado reversible, ha seudonimizado (no anonimizado) los datos — el conjunto de datos de análisis aún contiene datos personales que están sujetos a solicitudes de supresión.

Fuentes:

Artículos Relacionados

GDPR y Cumplimiento

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR y Cumplimiento

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR y Cumplimiento

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

¿Listo para proteger sus datos?

Comience a anonimizar PII con más de 285 tipos de entidades en 48 idiomas.

Iniciar Prueba GratuitaVer Características